java 安全
文章平均质量分 57
weixin_48170459
渗透测试工程师,业余coser,自由旅行爱好者
展开
-
Apache Log4j任意代码执行漏洞EXP(任意命令执行 window和Linux)
声明:本程序仅教学使用,由于使用本程序攻击网站所造成的后果由读者本人承担百度云链接:https://pan.baidu.com/s/1cB2ffoWiVti3Ve_ZM73-cA提取码:nexu仅测试Linux版本,Windows未测试,服务占用端口为8100和1389,个人推荐使用模式1测试环境:java:版本python版本需要的python包测试网站环境:Linux使用方法:1,运行 javac test1.java编译程序2,java test1 运行程序本程序有两种模式原创 2021-12-13 22:16:37 · 5324 阅读 · 2 评论 -
Apache Log4j任意代码执行高危漏洞远程批量检测脚本(脚本为初版,未经过测试)
连续工作了十二天,本来想着周五能轻松一点,结果来了这个漏洞,要检测一大批资产,看了一下复现方法,然后写了个脚本检测,利用dnslog回显检测,不过只是单纯post和get payload而已。然后,,,扫不出来,只能手工了。后续有环境在修改,读者也可自行修改,循环遍历一下参数字典。import requestsfrom urllib.parse import quoteurl="http://dnslog.cn/getdomain.php"url1="http://dnslog.cn/getreco原创 2021-12-10 17:30:17 · 2508 阅读 · 0 评论 -
JWT的安全问题
本文主要讨论JWT的安全问题,因水平有限,可能有些安全方面没有涉及到,欢迎各位师傅在评论区留言补充JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。JWT的组成它由三部分组成,头部、载荷与签名通常如下所示xxxx.yyyy.zzzz头部alg表示了该jwt所使用的签名算法typ表示格式载荷载荷一般记载角色的权限信息,iat表示创建时间原创 2021-09-13 17:56:58 · 2749 阅读 · 0 评论